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摘 要 : 针对 现 有 低 轨 卫星 网 络 认 证 方案 采用 集中 认证 方式 认证 存在 时 延 大 和 采用 复杂 的 双 线 性 映射 存在 计算 开销 
大 的 问题 。 引 入 无 证 书 认 证 模型 ， 在 Gayathri 方案 的 基础 上 ， 设 计 了 一 种 高 效 无 证 书 认证 方案 。 该 方案 将 用 户 的 公 
钥 和 真实 身份 统一 起 来 ， 使 得 认证 过 程 中 不 需要 第 三 方 参与 ， 降 低 了 认证 时 延 ; 通过 椭圆 曲线 上 少量 点 来 和 点 加 运 
算 构建 认证 消息 ， 训 免 使 用 双 线 性 映射 ， 降 低 了 计算 开销 。 并 在 随机 预言 模型 下 ， 基 于 椭圆 曲线 离散 数学 对 问题 假 
设 对 其 安全 性 进行 了 证 明 。 最 后 ， 通 过 实验 仿真 ， 与 现 有 低 轨 卫星 身份 认证 方案 相 比 ， 所 提 方 案 的 认证 时 延 、 计 算 
开销 和 通信 开销 较 低 。 
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Efficient certificateless authentication Scheme for leo satellite networks 


Zhang Yi Wu Qi', Zhou Shuangshuang, Jia Mengzhao 
(School of Communication & Information Engineering, Chongqing University of Posts & Telecommunications, Chongqing 
400065, China) 


Abstract: Aiming at the problems of long time delay and high computation cost of using complex bilinear mapping in the 
current LEO satellite network authentication scheme, this paper proposed an efficient certificateless authentication Scheme 
based on the Gayathri’s certificateless authentication scheme. This scheme unifies the user's public key and real identity, so 
that need not the third party to participate in the authentication process and reduce the authentication delay; uses a small 
number of point multiplication and point addition operations on the elliptic curve to construct the authentication message, 
which does not involve the bilinear mapping and reduces the computation cost. Then this paper proves the authentication 
scheme’s security based on the assumption of elliptic curve discrete mathematics under the random oracle model. Finally, 
through experimental simulation, comparing with the existing LEO satellite identity authentication schemes, the proposed 
scheme has lower authentication delay, computational overhead and communication overhead. 
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0 引言 针对 LEO 卫星 网 络 安全 身份 接 入 问题 .早期 Cruickshank 
© 汪 等 人 加 提出 了 一 种 基于 公 钥 基础 设施 (Public Key 
《 随 着 社会 经 济 的 发 展 ， 传 统 的 地 面 网 络 已 经 无 法 满足 人 Infrastructure, PKD) 的 安全 认证 协议 ， 其 核心 思想 是 通过 通信 


CS 门 在 海洋 、 沙 漠 和 深山 等 特殊 区 域 的 通信 需求 。 而 卫星 网 络 。 双方 的 公私 钥 完 成 身份 认证 ， 但 是 认证 过 程 中 需要 复杂 的 流 
有 和 履 盖 面积 广 、 通 信 距 离 远 、 不 受 地 理 条 件 限制 的 特点 ， 程 交互 和 计算 开销 ， 而 且 存 在 证 书 难 以 管理 的 问题 。 为 了 避 

可 以 有 效 弥 补 地 基 网 络 的 不 足 。 其 中 低 轨 (Low Earth Orbit, 免 PKI 体制 的 叉 端 ，2015 年 Zhang 等 人 BJ] 提 出 基于 异 或 哈 希 

LEO) 卫 星 网 络 具有 低 时 延 、 通信 功 耗 小 、 机 动 性 高 等 优势 趾 ， 的 轻 量 认证 方案 ， 该 方案 通过 用 户 到 卫星 到 地 面 网 络 控制 中 

在 卫星 网 络 占据 着 越 来 越 重要 的 作用 。 (Network Control Center, NCC) 的 方式 完成 三 方 认证 ， 其 中 卫 

LEO 卫星 网 络 具 有 节点 暴露 、 信 道 开放 、 资 源 受 限 、 网 星 在 认证 过 程 起 到 中 转 作 用 而 不 参与 计算 。 虽 然 认 证 过 程 中 


络 拓扑 结构 高 动态 变化 、 用 户 终端 海量 等 特点 ， 导 致 用 户 接 ” 计算 开销 很 小 ,但 是 安全 性 低 , 认证 过 程 中 消息 容易 被 破解 
入 LEO 卫星 网 络 容易 遭受 欺骗 、 恶 意 拦截 、 信 息 窃取 等 问题 。 ”文献 [4,5] 提 出 基于 哈 希 和 对 称 加 密 的 匿名 认证 方案 。 方 案 
从 


对 此 LEO 卫星 网 络 的 安全 接 入 认证 问题 成 为 了 人 们 关注 的 用 对 称 加 密 防 止 认证 消息 被 破解 ， 同 时 通过 异 或 哈 希 对 终端 
焦点 。 不 同 于 地 面 网 络 ,卫星 网 络 节点 资源 和 计算 能 力 受 限 ， 设备 身份 进一步 隐藏 ， 提 高 了 安全 性 ， 但 是 仍然 存在 无 法 抵 
无 法 承担 复杂 的 计算 和 高 额 的 通信 开销 。 并 且 ， 相 对 于 中 轨 ” 御 服 务 器 欺骗 等 攻击 。 为 了 进一步 提高 安全 性 ， 文 献 [6,7] 基 
和 高 轨 卫 星 , 用 户 在 使 用 LEO 卫星 系统 各 项 服务 时 ， 对 于 传 于 椭圆 曲线 密码 体制 (Elliptic Curve Cryptography, ECC) 设 计 
输 时 延 、 实 时 性 和 丢 包 情况 要 求 更 高 ， 所 以 认证 时 延 不 能 太 了 一 种 安全 强度 高 的 认证 方案 ， 通过 安全 形式 化 证 明 该 


高 。 同 时 ，LEO 卫星 链 路 切换 更 加 频繁 ， 过 大 的 认证 时 延 可 ”类 方案 具有 抵御 各 种 已 知 攻 击 能 力 。 但 是 , 文献 [3~7] 在 认证 
能 导致 用 户 与 原 卫 星 的 连接 失效 后 还 没 与 其 他 卫星 建立 连接 ， 过程 中 均 需 要 NCC 的 参与 ， 导 致 NCC 负载 过 大 ， 容 易 出 现 
从 而 连接 中 断 ， 影 响 用 户 通信 质量 。 所 以 ， 认 证 方案 的 设计 ” 单 点 故障 问题 。 同 时 认证 过 程 中 存在 多 轮 信息 交互 ， 导 致 认证 
立 该 在 保证 安全 性 的 前 提 下 ， 尽 可 能 满足 较 小 的 计算 开销 、 时 延 过 大 。 随 着 星 上 处 理 能 力 的 不 断 提 高 ，2020 年 赵 等 人 外 在 
较 低 的 认证 时 延 低 和 通信 成 本 。 基于 身份 密码 体制 Identity-Based Cryptography, IBC) 上 , 提出 
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录用 定稿 张 ” 席 ， 


等 : 
一 种 用 户 终端 和 卫星 间 端 到 端的 认证 方案 ， 该 方案 仅 在 注册 
阶段 需要 密 钥 生成 中 心 (Key Generation Center KGC) 生 成 公 
私 钥 ， 而 在 认证 过 程 中 ， 不 需要 第 三 方 参与 ， 从 而 降低 了 认 
证 时 延 。 但 是 其 认证 方案 中 使 用 了 复杂 的 双 线 性 映射 ， 导 致 
计算 开销 过 大 ， 同 时 由 于 KGC 保存 着 所 有 用 户 终端 设备 的 
公私 钥 ， 所 以 存在 密 钥 托管 问题 。 

无 证 书 密 码 体制 Bl(Certificateless Public Key 
Cryptography, CL-PKC) 可 以 很 好 地 避免 密 钥 托管 问题 ， 
有 很 高 的 安全 性 。 所 以 在 低 轨 卫星 网 络 身份 认证 应 用 中 具 
有 很 好 的 前 景 。 但 是 现 有 低 轨 卫星 中 无 证 书 认证 方案 很 少 ， 
主要 关注 在 密 钥 协商 (MM 和 特定 卫星 系统 中 11。 

2017 年 , 周 等 人 (3 提出 一 种 高 效 的 无 证 书签 密 方案 , 该 
方案 避免 了 计算 量 大 的 双 线 性 运算 ， 而 使 用 少量 群 上 点 乘 和 
点 加 运算 ， 从 而 降低 了 计算 开销 ， 适 用 于 计算 资源 有 限 的 设 
备 。 但 是 文献 [12] 被 文献 [13] 证 明了 存在 安全 缺陷 , 不 能 抵御 
伪造 身份 攻击 。 近 年 来 ， 无 证 书 认 证 方案 广泛 运用 了 其 他 资 
源 受 限 的 网 络 中 ， 如 物 联网 0 和 车 联网 0549。 对 低 轨 卫星 网 
络 中 采用 无 证 书 认证 的 方案 设计 提供 了 很 好 的 研究 思路 。 

综述 ， 现 有 认证 方案 无 法 满足 LEO 卫星 高 效 认 证 需求 。 
寻 此 ， 根 据 以 上 研究 基础 ， 本 文 在 Gayathri 等 人 方案 上 ， 结 
合 低 轨 卫星 网 络 特点 ,提出 了 一 种 高 效 无 证 书 身 份 认 证 方案 。 
该 方案 中 用 户 认证 过 程 中 不 需要 NCC 参与 ， 降 低 了 认证 时 
延 ; 同时 通过 椭圆 曲线 上 少量 点 乘 和 点 加 运算 构建 认证 消息 ， 
计算 开销 低 且 安全 性 高 。 最 后 在 随机 预言 模型 下 证 明了 方案 

的 安全 性 ， 并 和 已 有 方案 性 能 进行 了 对 比分 析 。 


1 ”预备 知识 


1.1 困难 问题 
椭圆 曲线 离散 数学 对 问题 (Elliptic Curve Discrete 
logarithm, ECDLP)。 令 P 是 阶 为 大 素数 4 的 循环 群 G 的 一 个 
生成 元 ;而 任意 的 概率 多 项 式 算法 4 成 功 解决 ECDLP 问题 
概率 AdvY(4 和 =Pr[A(P,s,P=s,)] 是 可 忽略 的 ， 概 率 来 源 于 5 在 
2 上 随机 选取 和 算法 4 的 随机 选择 。 
1.2 无 证 书 认证 方案 流程 
无 证 书 认证 方案 主要 包括 以 下 五 个 阶段 : 初始 化 阶段 
(Setup)、 秘 密 值 生成 阶段 (Set-secret-key)、 部 分 密 钥 生 成 阶段 
(Set-private-key)、 签 名 阶段 (Sigm 和 验证 阶段 (Verify)。 
初始 化 (Setup): 该 阶段 由 KGC 执行 ， 以 安全 参数 作为 输 
入 ， 生 成 系统 的 主 密 钥 s 和 系统 公共 参数 params 。 秘 密 值 生成 
(Set-secret-key): 该 阶段 由 用 户 终端 设备 执行 ， 以 用 户 设备 D 作 
为 输入 ， 生 成 用 户 终端 秘密 值 x 和 公开 参数 X 。 部 分 密 钥 生 成 
(Set-private-key): 该 阶段 由 KGC 执行 , 以 用 户 设备 ID 和 公开 参 
数 X 作为 输入 ， 生 成 用 户 部 分 密 钥 (R,4) 。 签 名 (Sigm: 该 阶段 
任意 合法 设备 执行 , 输入 任意 消息 m 和 该 设备 的 私 钥 对 (%,4) ， 
生成 该 消息 的 签名 c 。 验 证 (Verify): 该 阶段 由 任意 合法 设备 执 
行 ， 输 入 任意 消息 mw 和 签名 o， 输 出 验证 结果 (true/false)。 
1.3 Gayathri 等 人 方案 回顾 
令 签 名 者 V 和 验证 者 R 为 无 证 书 认 证 方案 的 主要 实体 。 
按照 Gayathri 等 人 方案 ， 则 V 生成 的 公私 钥 对 为 
<PK =(X,,R),SK;=(di,*%)> 。 PK 由 PKG 生成 部 分 公 钥 和 自 
己 生成 的 部 分 公 钥 XX 组 成 。 同 理 ，5SK; 是 由 PKG 生成 部 分 私 
钥 d; 和 自己 生成 的 部 分 私 钥 忆 组 成 。 
签名 阶段 (Sign): V 选取 随机 数 ,ye2r ,获取 当前 时 间 
， 然 后 按照 如 下 方式 计算 部 分 密 钥 ,和 签名 ww， 然后 发 
送 认证 请 求 mc = 五 ,ww) 到 验证 者 有。 
Y= yiP, 
%; =[(yyX; + hoid;) mod qlP,y = (Ui, Vi;), 
w=[u(yYit+hx)+ hdi] modg 


一 种 面向 低 轨 卫星 网 络 的 高 效 无 证 书 身 份 认证 方案 


ChinaXiv 合 作 期 刊 
第 39 卷 第 10 期 


FE， = Fy, TD, YF) ~ hy = Ha(m, 1D, YR,t) ~ hy = Hm, 1D,Y,, 
Ri,t) 表示 摘要 值 ，(w,v) 表示 椭圆 曲线 上 一 点 的 横 纵 坐 标 。 PP、 
Pouww、9 分 别 表示 椭圆 曲线 生成 元 、 系 统 公 钥 和 大 素数 。 
验证 阶段 (Verify): R 收 到 V 的 认证 请 求 后 ， 验 证 式 (1) 
是 否 成 立 ， 若 成 立 ， 则 表示 认证 成 功 ， 否 则 ， 认 证 失败 。 
WP-u(Yit+hX)=h (BR +hiP,,) (1) 
1.4 Gayathri 等 人 方案 安全 性 缺陷 
根据 文献 [9] 描 述 , 无 证 书 密 钥 体制 存在 4 类 敌手 ， 该 类 
敌手 具有 替换 合法 用 户 公 钥 的 能 力 , 但 它 不 掌握 系统 主 密 钥 。 
当 4 获 取 V 公 钥 PK; 后， 然后 伪造 公 钥 蔡 代 PK ， 生 成 伪造 
签名 o。 扩 4 与 R 的 具体 交互 过 程 如 下 : 
签名 (Sign): 4 通过 公开 信道 获取 V 的 公 钥 PK =(X,R) 
和 身份 标识 符 ID 后 : 
获取 当前 时 间 w ， 选 取 随 机 数 » ez ， 计 算 : 
Yi = yi P= (u,v ) 
h;=H, (1D,,R,P,,,) 
hs = Hm,1D;,,Y,R,,t’) 
hy = Hl(m, 1D,,Y,R,,t,) 
伪造 公 钥 为 PK,=(Xi,R) ， 并 替换 成 V 的 公 钥 。 其 中 
X=h uhy(R thP,,)]+Y o 
然后 生成 签名 w=ywi 最 后 发 送 认 证 请 求 (m0;=(R,Yi,w,w) ) 
到 R。 
验证 (Verify): R 收 到 VV 的 认证 请 求 后 : 
a) 计 算 : 


hs = Hs(m,1D,,Y,,R,,t;) 
hi = Ha(m',1D;,,Y,R,,t;) 
hi = Hi(ID,R, Pw) 
b) 验证 式 (2) 是 否 成 立 , 若 成 立 , 则 表示 认证 成 功 , 否则 ， 
认证 失败 。 


wi Pu +h XI) = hy (BR + hPa) O) 
天 为 敌手 4 伪造 V 的 签名 ce 满足 式 (1)， 所 以 可 以 通过 
R 的 验证 。 因 此 .4 具有 伪造 成 合法 用 户 的 能 力 ，Gayathri 等 
人 方案 无 法 满足 所 声称 的 对 4 敌手 的 不 可 伪造 性 。 证明 如 下 : 


hi (及 十 hiP )+u: (Vi + ls; Xi)= 
hi (及 十 hiP,) + uy 十 有 Xi =¥;= yy:P=wP 


2 ”本 文 方案 


2.1 系统 模型 

方案 的 系统 模型 如 图 1 所 示 ， 下 面 对 低 轨 网 络 认 证 中 主 
要 实体 做 简要 介绍 。 

a) KGC: 所 有 实体 信息 的 管理 者 。 它 发 布 公开 系统 参数 ， 
并 负责 设备 信息 注册 ， 为 合法 设备 生成 公私 钥 对 。 

b) LEO 卫星 : 卫星 网 络 节点 ， 距 离 高 度 一 般 为 500- 
2000km, 传播 时 延 一 般 在 20~40ms 左右 , 主要 负责 用 户 的 接 
入 和 数据 的 传输 。 本 方案 中 卫星 有 一 定 计算 能 力 ， 具 备 验 证 
用 户 合法 性 的 功能 。 

c) 用 户 终 端 : 主要 包括 手机 、 车 辆 、 飞 机 、 用 户 等 地 面 
终端 ， 需 要 通过 低 轨 卫星 网 络 获取 相应 的 服务 。 
2.2 方案 流程 

本 文 方案 主要 包括 4 个 阶段 : 系统 初始 化 阶段 、 秘 密 值 
生成 阶段 、 部 分 私 钥 生成 阶段 、 双 向 认证 阶段 。 符 号 及 其 含 
义 如 表 1 所 示 。 
2.2.1 系统 初始 化 阶段 

该 阶段 由 KGC 执行 ， KGC 选取 阶 数 为 4 的 循环 群 G ， 
其 中 4 为 大 素数 (49>2Y ， 上 为 安全 参数 )，P 为 G 的 一 个 生成 
元 。 Ms Hi:{0,1 xGxG 2 H,:{0,1F 一 2 ， L, 为 用 户 身 份 
标识 符 1D 的 长 度 。 然 后 KCG 随机 选取 系统 主 密 钥 se2 ， 


| 


可 


202205.00129v1 


chinaXiv 


计算 系统 公 铀 


Ps =s,P 


params =< q,P,G,P,,, Hi,H, > 。 


然后 公开 参数 


表 1 符号 及 其 含义 
Tab.1 Symbols and their meanings 
符号 含义 
9 大 素数 
2 小 于 4 的 正 整数 
Sn 系统 主 密 钥 
Params 系统 公开 参数 
Pow 系统 公 钥 
ID.,ie{U,S} 3 户 和 卫星 的 身份 标识 符 
PK;=(X,,R ),ie{U,S} 户 和 卫星 的 的 公 钥 对 
SK;=(%,di),ie{U,S} 户 和 卫星 的 的 私 钥 对 
Qie{U,S} 户 和 卫星 部 分 密 钥 
Hi,H, 单 向 哈 希 函数 
rs ass Zs 上 的 随机 数 
消息 
oi,ie{U,S} ] 户 和 卫星 对 消息 的 签名 
(U1,V1),(u2, V2) 椭圆 曲线 上 一 点 横 轴 坐标 
n, Ww, 0 0 中 间 变 量 
2.2.2 秘密 值 生成 阶段 
该 阶段 由 用 户 终端 和 卫星 分 别 执行 。 


设 用 户 终端 设备 为 Pr ，1D, 随机 选取 秘密 值 飞 sz， ， 计 算 


设 卫星 设备 为 ID; ， 


ID; 随机 选取 


2.2.3 部 分 密 钥 生成 阶段 
该 阶段 由 KGC、 用 
KGC 收 到 | 


户 终 端 和 


公开 参数 X, = 多 P ， 然 后 通过 安全 通道 发 送 40D ,Xo) 到 KGC。 


秘密 值 乓 sz ， 计 算 公 


开 参 数 尺 =sP ， 然 后 通过 安全 通道 发 送 0D;,Xs) 到 KGC。 


卫星 分 别 执行 。 


j 户 终端 设备 身份 标识 符 1Ds 和 公开 参数  ， 


然 后 随机 选取 Wa eZ 7? 并 计算 Ry=1P, dy=1 +s,Hi(ID,, Xu,Ru) 。 


然后 通过 安全 信道 将 (R, 
用 户 终 端 收 到 
dyP=R, + PsHi(IDy, Xu, Ry,) 
性 。 若 验证 不 通过 ， 


,du) 返 
KGC 返 


I 


是 否 成 立 判断 KCG 生成 密 钥 的 合法 
则 重新 向 密 钥 KGC 申请 密 钥 。 否 则 ， 密 


钥 生 成 成 功 。 最 终 , 用 
钥 为 SKv =<x,dy > 。 
同 理 ， 


二 三 


图 1 


LEO satellite network system model 


Fig. 1 
2.2.4 双向 认证 阶段 


人 


计算 Qj =aP= (u,v) 


用 户 U( 身 份 标识 符 为 Du ) 和 卫 上 
行 双 向 身份 认证 流程 如 下 : 
上 | 户 U 随机 选取 而 eZ 


1 星 ID; 的 公 钥 为 PKs =< Xs,Rs > ， 


给 设备 ; 


可 密 钥 后 ， 


验 证 


户 终端 ID 的 公 钥 为 PEv = 和 :应 >， 私 


私 钥 为 


一 下、 密 钥 生 成 中 心 


地 基 网 


低 轨 卫星 网 络 系统 模型 


有 S( 身 份 标识 符 1D; ) 进 


? 时 间 戳 有 丈 ; 


计算 =Hi0Dy,Xu,T,Ry,Q,,m) ; 
然后 生成 签名 mu =arCuxo +udy)modg ; 

发 送 认证 请 求 req=UD, Xu,R,Qy ,Ty,0v,m) 。 

送 的 认证 请 求 "4 后， 获取 当 前 时 间 


卫星 S 收 到 | 


j 户 发 
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7 ， 判 断 7- 歼 <A7 是 否 成 立 ， 若 不 成 立 则 认为 消息 不 新 鲜 ， 
然后 丢弃 消息 并 停止 操作 。 否 则 : 


计算 w= Ou" 9 hy = Hi(ID,, Xu:Ro) » fy'=H,(ID,, Xu,T ,Ru,Qy,m); 


计算 Qo =nv'wW,0 =UWw 
验证 @ =aXu+o(Ry +hPy) 。 
若 卫星 S 验证 用 户 U 身份 合法 性 通过 后 , 卫星 S 随机 选 
取 5 eZ 
| 算 Qs =5P=(w,v,), 时 间 截 Ts; 
| 算 ns = HD;,X,,T,R;,0;) ; 
太后 生成 签名 as =ar (nsxs +iwds) modg,; 
返回 认证 响应 res=0Ds,X;s,R;,Q;,T,0s) 。 
户 收 到 卫星 返回 的 认证 响应 后 ， 获 取 当 前 时 间 7 ， 判 
断 7- 有 五 <A7 是 否 成 立 , 若 不 成 立 则 认为 消息 不 新 鲜 , 认证 失 
败 。 否 则 : 
计算 及 =Hi(D;,Xs.R;s)， 
计算 QO =N WwW, =UwW; 
验证 @; =0X+0(Rs +hsPy) 。 
如 果 用 户 U 和 卫星 S 顺利 进行 完成 以 上 步骤 , 则 认为 用 
户 和 卫星 双向 认证 成 功 。 


3 ”安全 性 证 明 与 分 析 


正确 性 证 明 

卫星 在 认证 请 求 阶段 判断 签名 是 否 成 立 的 正确 性 分 析 如 下 : 

如 果 用 户 签 名 合法 ， 那 么 签名 需要 满足 等 式 

CE=wXo+oR +hyP,) 日 

由 用 户 秘密 值 生成 阶段 和 部 分 密 钥 生成 阶段 可 知 : 用 户 

密 钥 满足 等 式 dP= 民 +PwHiUDy,Xu, 旭 ) 、Xu=wP 。 所 以 卫星 

可 以 通过 计算 得 到 的 加 和 公开 参数 X,、R, 、Pw 计 算出 志 P 

和 duP; 

a) 进一步 ， 卫 星 可 进行 如 下 计算 : 
AaXu to (Ry +hyP,s)= XvP+ AduyP= 


局 局 


这 


w=0s" , ns'=(IDs,Xs,Ts,Rs,Qs); 


3.1 


(xy + Ody P= wnv'xy +udy)P= ao +udvy )P 

而 用 户 在 生成 签名 时 ， 签 名 mm 满足 等 式 
or =ar0uz tad) ， 带 入 上 一 步 ， 就 可 以 得 到 
OoXy +o,(R, +huPw)=aP= 0, 
3.2 ”安全 性 正式 证 明 

定理 1 假定 敌手 4 在 多 项 式 时 间 内 ， 以 无 法 忽视 的 优 
势 4 成 功 伪 造 出 一 个 签名 ， 则 挑战 者 CcC 能 够 以 
0 名 0- 名 )(F 和 ?所 解决 ECDLP 问题 。 其 中 表示 部 分 密 钥 
生成 查询 次 数 ，g, 表示 秘密 值 查询 次 数 ，4. 表示 次 签名 查询 

证 明 假设 一 个 敌手 4 能 在 本 方案 中 能 以 优势 4 成 功 
伪造 目标 用 户 1D; 的 有 效 签 名 。 则 对 于 给 定 的 (P,Q=aP)，, 挑战 
者 C 的 目标 是 计算 出 a。 
挑战 者 C 与 4 的 交互 流程 如 下 : 

初始 化 阶段 : C 首先 运行 Setup 程序 构建 系统 ， 令 
Pw=5mP ， 然 后 公开 系统 的 参数 params =<g,P,G,P,HH,H,> 。 建 
立 并 维护 L,b,LoL,h 5 个 表 ， 哈 希 表 二 填充 内 容 为 
UD,X.R.h)， 哈 希 表 工 填充 内 容 为 0D,X.R.T,Q,m,h) ， 部 分 密 
钥 值 表 5 填充 内 容 为 0D,R,d) ， 秘 密 值 表 云 填充 内 容 为 CD,D ， 
公 钥 表 填充 内 容 为 CD,X,R) 。 初 始 化 时 , 各 个 表格 内 容 为 空 。 

预言 机 查询 阶段 : 本 阶段 4 与 C 之 间 进 行 如 下 预言 机 交互 : 

五 查询 : 当 .4 输入 QD,X,R) 时 进行 询问 时 。 若 石 存在 相 
应 的 元 组 4D,Xi,R,h) ， 则 返回 给 4; 否则 ， 则 c 随机 选取 
heZr' ， 然 后 返回 h 给 4， 并 保存 QD,Xi,R,h) 。 

蕊 查询 : 当 4 输 入 4D,X,R,T,8,m) 进行 询问 时 。 若 蕊 存 
在 相应 的 元 组 4D,X,,R,T,8,m,h)， 则 返回 名 给 4; 否则 ， 则 
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录用 定稿 


C 随 机 选取 he2z ， 


UD,Xi,R,T,Q,m,h) 到 七 中 。 
当 上 4 输入 QD,X) 进行 询问 时 ， 首先 
判断 ID=1D* 是 否 成 立 ， 若 成 立 ， 则 Cc 终止 模拟 。 若 不 成 立 ， 
的 元 组 0D,R,d) ， 若 存在 ， 则 返回 


部 分 密 钥 生成 查询 : 


则 判断 三 是 否 存 在 相应 


然后 返 
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生成 签名 9;=am0w% +ud)modg 都 需要 随机 选取 的 a， 导致 每 
次 生成 签名 都 是 随机 的 ， 因 此 签名 之 间 没 有 任何 联系 ， 具 有 
签名 不 可 链接 性 。 

前 向 安全 性 : 前 向 安全 性 可 以 保障 用 户 终 端 前 后 的 认证 


消息 不 会 互相 影响 。 本 文 方案 中 ， 当 用 户 终 端 SK =<zodu > 


(RD) 给 4 4 否则 C 随机 选取 di,h eZ > 并 计算 R =d:P—hP, » 


然后 返回 (R,d) 给 4。 最 后 ， 保 存 CD,R,L) 到 中， 


QD,X,R,h) 到 工 中 。 


添加 


秘密 值 查询 : 当 4 输入 DD 进行 询问 时 , 首先 判断 D=1D* 
是 否 成 立 ， 若 成 立 ， 则 C 终 止 模 拟 。 若 不 成 立 ， 则 判断 工 是 


否 存在 相应 的 元 组 4D,x) ， 若 存在 ， 则 返回 “给 .4， 
可 冯 给 4 然后 保存 CD,s) 到 工 中 。 
输入 CD,m) 进行 询问 时 ,， 若 云 存在 
返回 (XR) 给 4， 否则 ， 


随机 选取 *e2Zi ， 然 后 返 


公 钥 生成 查询 : 当 .4 
相应 的 元 组 04D,Xi,R)， 则 


取 Tt eZ » 计算 X; 


和 工 中。 


否则 C 


C 随 机 选 


xzP， 通 过 UD,X) 对 进行 查询 得 到 (8,d)， 
然后 返回 QD.X.R) 给 4， 并 分 别 添加 QD,R,d) ，(UD,X,) 到 工 


公 钥 替换 : 44 可 以 选择 一 个 新 的 公 钥 (X18) 蔡 换 任意 合 
法 用 户 公 钥 (XB) ， 并 保存 到 碟 中 。 


签名 查询 : 当 4 以 4D,m) 进行 询问 时 , 首先 判断 ID=IDx* 


是 否 成 立 ， 若 成 立 ， 则 C 终止 模拟 。 


不 然 ， 随机 选 取 a e224 ， 


计算 8=4P=(w,w)， 然 后 分 别 通过 碟 工分 别 获取 加 、 di、 


Xi 计算 GO;=a (fx +ud;) mod gq, 


初始 化 阶段 ， 本 阶段 4 通 


合法 用 户 签名 。 


伪造 : 最 后 4 伪造 出 ID* 的 


返回 (2,c) 给 4 。 
过 CcC 之 间 的 交互 后 ， 尝 试 伪造 


一 个 签名 (Q*,o7) ， 如 果 等 式 


(3) 成 立 ， 则 4 伪造 成 功 。 其 中 尹 为 2 的 一 部 分 。 
loiXr Ho +h'P,y)= QO" (3) 
根据 分 又 引 理 051， 人 能够 在 多 项 式 时 间 内 以 同样 的 方式 
选择 不 同 的 大 成 功 伪造 另 一 个 签名 (0",c) 满足 等 式 (4)。 


所 以 由 等 式 (3)(4) 可 得 


遭 到 破坏 时 ， 也 不 会 泄露 先前 建立 的 会 话 密 钥 信息 。 因 为 会 
话 密 钥 *=aQ,=sQ, 是 基于 迪 菲 - 赫 尔 曼 密 钥 交 换 (Diffie- 
Hellman Key Exchange, DHKE) 协 议 生 成 的 ， 不 依赖 于 用 户 终 
端的 私 铀 ， 因 此 本 文 认 证 方案 具有 前 向 安全 性 。 

a) 抗 重 放 攻 击 : 认证 过 程 中 ， 卫 星 和 用 户 终 端 都 会 根据 
当前 的 时 间 惟 判断 收 到 消息 的 新 鲜 性 ， 若 大 于 系统 设 定 最 大 
忍受 时 延 ， 则 会 丢弃 消息 ， 从 而 使 攻击 者 对 消息 的 重 放 攻 击 


b) 抵御 中 间 人 或 假冒 攻击 : 攻击 者 无 法 根据 截获 用 广 
送 的 认证 消息 伪造 用 户 终端 的 签名 。 因 为 认证 消息 构建 的 安 
全 基础 是 基于 椭圆 曲线 上 的 离散 对 数 问题 的 困难 性 ， 所 以 攻 
击 者 无 法 伪造 认证 消息 。 

密 钥 托管 弹性 在 所 提出 的 方案 中 ， 用 户 终端 和 卫星 的 
私 钥 SK; =<%%,d;> 包括 由 KGC 计算 的 部 分 私 钥 di 以 及 用 户 终 
端 和 卫星 随机 选择 的 ,因此 , 恶意 的 KGC 在 不 知道 二 的 情 
况 下 无 法 生成 有 效 的 签名 。 所 以 ， 所 提出 的 方案 不 受 密 钥 托 
管 问题 的 影响 。 
4 ”实验 仿真 

计算 开销 、 认 证 时 延 和 通信 开销 是 衡量 身份 认证 方案 优 
劣 的 最 直观 的 指标 。 本 节 将 从 计算 开销 、 认 证 时 延 和 通信 开 
销 三 方面 与 近年 来 发 表 的 、 安 全 性 较 高 的 接 入 认证 方案 相对 
比 。 选 取 的 对 比方 案 分 别 为 : 文献 [7] 提 出 的 基于 三 因素 椭 攻 


GO HIR + hi Ps) = (4) 


Qi (oi -0 )=u (hr — hi) Py 
a (oi -om )P=u (hr —h')s,P 


C 可 计算 出 w%=w(cr~ 


进行 签名 询问 ，1 个 身 


GD (hr —h') o 
概率 分 析 设 在 多 项 式 时 间 内 ，C 最 多 进行 4, 次 部 分 密 
钥 生 成 查询 ,4, 次 秘密 值 查询 ，4. 次 签名 ( 即 选取 了 4. 个 身份 


份 作为 挑战 即 ID* ) 后 ， 成 功 解决 
ECDLP 问题 ， 那 么 C 在 模拟 过 程 中 必须 满足 以 下 三 个 条 件 : 
互 : 签名 阶段 未 终 ] 


上 (未 选中 ID* )。 


E: C 未 对 
值 查询 。 


:0 是 关 


所 以 , 优势 可 以 表示 为 BI& 人 ^EE^El]。 而 PIE]=(1- 


FID* 的 


标 身 份 号 ( ID* ) 进 行 部 分 密 钥 生成 查询 或 秘密 


个 有 效 签 名 。 


1 
qe +1 


六 、 


BIB1BFG- 2 全 ) 、RIE EA 到 FG 。 所 以 模拟 过 程 不 终止 的 


、 dp gs de 
率 为 PIB 人 人 EAE]=(l-—)d-)(—)* 6 。 
概率 为 PLB 和 到 ^ pe 


定理 2 假定 敌手 和 4 在 多 项 式 时 间 内 ， 以 无 法 忽视 的 优 
势 所 能够 成 功 伪造 出 一 个 签名 ， 则 挑战 者 C 能够 以 


(1- 计 )Q- 委 )( 吏 
29 q qn+l 


)2 解决 ECDLP 问题 ,其 中 4 表示 公 钥 生成 


查询 次 数 ，2 表示 秘密 值 查询 次 数 ，g, 表示 次 签名 查询 次 数 。 


证 明 证 明 过 程 和 定理 


3.3 安全 性 形式 化 分 析 
签名 不 可 链接 性 : 


E 1 类 似 。 


在 本 文 方案 中 ， 用 户 终 端 和 卫星 每 次 


曲线 认证 方案 、 文 献 [8] 提 出 的 基于 双 线 性 配对 的 认证 方案 和 
文献 [11] 提 出 的 基于 双 线 性 配对 的 无 证 书 认 证 方案 。 
4.1 实验 环境 

本 文 实验 环境 操作 系统 为 Ubuntu 18.04.6 64bit ， 在 
VMware 虚拟 机 运行 , 运行 内 存 为 4GB。 硬件 环境 为 Pntel i5- 
10210U 1.60GHz。 本 文 所 提 的 认证 方案 在 Charm-crypto 库 上 
实现 , 操作 运算 基于 底层 PCB 库 。 随 机 模拟 100 次 不 同 密码 
运行 操作 进行 分 析 ， 得 到 的 结果 见 表 2。 
表 2 不 同 操作 运行 时 间 (ms) 


Tab.2 Running time of different operations(ms) 


Ss 


符号 操作 时 间 

Toar 双 线 性 对 运算 5.9297 

Eu 椭圆 曲线 上 点 乘 运算 1.0494 

Ea 椭圆 曲线 上 点 加 运算 0.0016 
4.2 计算 开销 和 认证 时 延 分 析 


在 方案 对 比 时 , 主要 考虑 Bx 、B 和 Tw 产生 的 计算 开销 ， 
而 普通 哈 希 运算 和 四 则 运算 花费 时 间 很 少 ， 因 此 将 其 可 以 忽 
种 。 同 时 ， 为 了 不 失 一 般 性 ， 设 用 户 终 端 设备 和 卫星 单 向 传 
输 时 延 五 ,和 卫星 和 NCC 单 向 传输 时 延 式 ,都 为 20ms。 如 表 
3 所 示 ， 本 文 认证 方案 不 涉 到 复杂 度 较 大 7 运算， 在 签名 和 
验证 阶段 仅 需要 少量 的 Ex 和 运算 就 可 以 完成 验证 ， 计 算 
开销 时 间 大 约 为 4.2ms。 与 使 用 双 线 性 对 运算 认证 方案 [8] 约 
24.1ms 和 方案 [11] 约 10ms 相 比 , 计算 开销 上 有 明显 优势 ; 与 
不 使 用 双 线 性 对 运算 方案 [7] 相 比 , 方案 [7] 认 证 过 程 中 需要 较 
多 的 EE 运算 约 6.2ms， 计算 开销 较 本 文 更 大 ， 同 时 相对 本 文 
方案 相对 多 了 27 次 交互 次 数 。 所 以 ， 本 文 认证 方案 计算 开 
销 最 低 ， 认 证 更 加 高 效 。 

认证 时 延 主要 包括 身份 认证 中 的 计算 开销 和 认证 信息 交 
互 过 程 中 传播 时 延 开 销 。 由 图 2 不 同 消息 个 数 下 的 认证 时 延 
可 知 ， 由 于 本 文 方案 使 用 少量 复杂 度 较 低 的 椭圆 曲线 上 点 乘 


天 


录用 定稿 张 筑 ， 
点 加 运算 构建 签名 ， 计 算 开 销 最 小 ， 同 时 认证 方案 是 基于 


模型 ， 不 不 需要 第 三 方 参与 认证 ， 减少 了 认证 过 程 
中 的 交互 次 数 ， 传播 时 延 低 。 所 以 本 文 的 认证 时 延 均 明显 小 
于 其 他 方案 。 
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2 = -文献 [11] 
— 6000 * -本 文 方案 
宇 50o00 _ 
三 a “| 
肛 4o00 Re 
所 A 
志 3000 es 
一 
去 2 
2000 Ce 
有 ee 
-和 
1000 上 于 艺 2 且 渤 
划一 


10 20 30 40 50 60 70 a0 90 100 
认证 消息 (个 ) 
图 2 认证 时 延 
Fig.2 Authentication delay 
表 3 认证 开销 比较 
Tab.3 Comparison of authentication costs 
方法 签名 验证 计算 总 开销 交互 次 数 
文献 [7] 3 Ey 3 Ey 6 Ey 27,, +27 


文献 [8] Tyo +4 Ew + En 37w+E 4T, 


pai par 


+ Ew +2 Es 村 
文献 [11] 2 Ev Ta +2 Ey +2 Ea Tyar +t4 Er +42 BE 2 
本 文 方案 Ex 3 En +2 E, 4 Ew +2 En 222 


4.3 通信 开销 分 析 

为 了 方便 比较 ， 本 文 假定 设备 身份 标识 长 度 11D| 为 4 
Byte、 时 间 稚 长 度 |T| 为 4Byte， 消 息 长 度 |m| 为 20 Byte、 正 
整数 域 2 中 元 素 占用 127| 为 20 Byte。 而 循环 群 G 和 Gi 占用 


字 节 数 分 别 为 20 Byte 和 64 Byte， 所 以 G 和 G1 上 元 素 长 度 
1G1 和 1c1 分 别 为 40 Byte 和 128 Byte。 不 同 认证 方案 通信 成 
本 比较 如 表 4 所 示 ， 可 以 看 出 ， 相 比 于 其 他 方案 ， 本 文 认 证 
方案 通信 成 本 更 低 。 
5 ”结束 语 

本 文 提出 一 种 面 对 低 轨 卫 星 的 高 效 无 证 书 身 份 认证 方案 。 


该 方 案 中 ] 户 认证 过 程 中 不 需要 第 三 方 参与 ， 降低 了 认证 时 
延 : 认证 过 程 无 须 双 线性 映射 ， 计 算 开 销 低 ， 同 时 具有 
表 4 通信 成 本 比较 


Tab.4 Comparison of communication costs 


方法 通信 长 度 /Byte 

文献 [7] 21G|+4|2Z5 |+|T|+|1D|+|m|=188 
文献 [8] 2|G |+|IT|+|ID|+|m|=284 
文献 [11 3|G|+|TI+|ID|+|m|=412 
本 文 方案 3|GI+|20 1+ITI+IID|+|ml=168 


签名 不 可 链接 性 、 前 向 安全 性 、 抗 重 放 攻 击 、 抵 御 中 间 
人 或 假冒 攻击 、 密 钥 托 管 弹性 等 安全 性 。 但 是 方案 在 计 血 
销 上 还 有 一 定 优化 空间 ， 需 要 用 户 终端 和 卫星 具备 一 定 计算 
能 力 。 如 何在 满足 高 安全 强度 的 同时 ， 构 造 计算 复杂 度 更 全 
的 低 轨 卫星 网 络 身份 认证 方案 是 未 来 的 重要 研究 方向 。 
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